Російські хакери Sandworm атакували українські організації
Російське злочинне угруповання Sandworm запустило чергову кібератаку на організації в Україні, використовуючи програму-вимагача. Аналітики словацької компанії ESET у Twitter-треді називають цю програму RansomBoggs.
Дослідники виявили RansomBoggs 21 листопада в мережах кількох організацій в Україні. Хоча деякі аспекти RansomBoggs відрізняються від шкідливого програмного забезпечення, пов'язаного із Sandworm, методи розгортання аналогічні, пишуть вони.
Автори шкідливого ПЗ у своїх повідомленнях роблять посилання на "Корпорацію монстрів" – мультфільм Pixar 2001 року. У листі про викуп (SullivanDecryptsYourFiles.txt) хакери видають себе за Джеймса П. Саллівана, головного героя мультфільму, робота якого – лякати дітей.
Експерти зазначають, що в нинішній атаці є схожість із попередніми атаками, проведеними Sandworm. Зокрема, скрипт PowerShell, який використовують для поширення програми-вимагача .NET із контролера домену, майже ідентичний скрипту, який застосовували у квітні минулого року під час атак Industroyer2 на енергетичний сектор України. Ці атаки також приписали Sandworm.
Контекст:
Як зазначає Techcrunch, угруповання Sandworm пов'язане з підрозділом російської розвідки і, ймовірно, відповідальне за розроблення програми-вимагача NotPetya, яка атакувала комп'ютерні системи України 2017 року.
2020 року прокуратура США висунула шістьом хакерам Sandworm обвинувачення в атаці вірусом NotPetya, а також у кількох інших атаках, націлених на зимові Олімпійські ігри 2018 року в Пхьончхані в Південній Кореї, і в проведенні хакерських атак з організації витоку інформації з метою дискредитації тодішнього кандидата у президенти Франції Еммануеля Макрона.
У квітні 2022 року США оголосили винагороду в розмірі $10 млн за інформацію про Sandworm, звинувативши їх у плануванні кібератак на американську критичну інфраструктуру.